Основы Интернет - технологий.

Специалисты Palo Alto Networks Unit 42 обнаружили P2P-червя, нацеленного на серверы Redis. Малварь P2PInfect обладает способностями к самораспространению и атакует установки Redis, работающие в системах под управлением Windows и Linux.

Исследователи сообщают, что заметили написанного на Rust червя 11 июля 2023 года. Он взламывает серверы Redis, которые уязвимы перед проблемой CVE-2022-0543 и позволяют осуществить побег из песочницы, а также выполнить произвольный код.

Данная уязвимость была обнаружена и исправлена еще в феврале прошлого года, однако хакеры продолжают использовать ее против непропатченных систем, так как далеко не все устанавливают исправления вовремя, а PoC-эксплоит для этой проблемы свободно доступен.

По словам исследователей, хотя за последние две недели в интернете было выявлено около 307 000 серверов Redis, только 934 из них потенциально уязвимы для атак P2PInfect. Но несмотря на то, что далеко не все серверы восприимчивы к заражению, червь все равно атакует их и пытается скомпрометировать. Пока эксперты говорят, что не могут оценить, насколько быстро растет вредоносная сеть, связанная с P2PInfect.

Успешная эксплуатация уязвимости CVE-2022-0543 позволяет малвари удаленно выполнять произвольный код на скомпрометированных устройствах. В итоге после развертывания червь устанавливает первую полезную нагрузку и создает канал peer-to-peer связи.

После подключения к P2P-сети из других зараженных устройств, используемых для автоматического распространения малвари, P2PInfect скачивает дополнительные вредоносные бинарники (в том числе инструменты для сканирования, которые помогают найти другие доступные серверы Redis).

Стоит отметить, что это уже не первый случай эксплуатации уязвимости CVE-2022-0543 злоумышленниками для различных целей, включая DDoS- и брутфос-атаки. К примеру, в конце 2022 года именно эту проблему для компрометации серверов Redis использовал вредонос Redigo. Также в прошлом году уязвимость успешно эксплуатировала малварь Muhstik.